IBM ha pubblicato l’X-Force Threat Intelligence Index 2026, rivelando che i criminali informatici riescono più rapidamente a individuare i punti deboli e a sfruttare le falle di sicurezza di base, grazie all’utilizzo di strumenti di intelligenza artificiale.
IBM X-Force ha registrato un aumento del 44% degli attacchi iniziati con lo sfruttamento di applicazioni pubbliche, in gran parte causati dalla mancanza di controlli di autenticazione e dalla scoperta di vulnerabilità consentita dall’AI.
Alcuni dei principali punti emersi:
- I gruppi attivi di ransomware ed estorsione sono aumentati (49%) anno su anno, segnando la frammentazione dell’ecosistema, mentre il numero di vittime pubblicamente conosciute è aumentato di circa il 12%.
- Le grandi supply chain e la compromissione delle terze parti sono quasi quadruplicati dal 2020, poiché gli attaccanti sfruttano sempre più gli ambienti in cui il software viene costruito e distribuito o le integrazioni SaaS.
- Lo sfruttamento delle vulnerabilità è diventato la principale causa degli attacchi, rappresentando il 40% degli incidenti osservati da X-Force nel 2025.
“Gli attaccanti non stanno reinventando i manuali di gioco, li stanno accelerando con ‘I’AI”, ha detto Mark Hughes, Global Managing Partner per i Servizi di Cybersecurity di IBM. “Il problema di fondo è lo stesso: le aziende sono oppresse dalle vulnerabilità del software. La differenza ora è la velocità. Con così tante vulnerabilità che non richiedono credenziali, gli attaccanti possono bypassare gli esseri umani e passare direttamente dall’esplorazione all’impatto. I responsabili della sicurezza devono adottare un approccio più proattivo, utilizzando il rilevamento e la risposta alle minacce basati su agenti per identificare le lacune e individuare le minacce prima che degenerino.”
Il crescente problema dell’identità dell’AI
Il malware Infostealer ha portato all’esposizione di oltre 300.000 credenziali ChatGPT nel 2025, segnalando che le piattaforme di AI hanno raggiunto lo stesso rischio di credenziali di altre soluzioni core SaaS aziendali.
Le credenziali dei chatbot compromesse creano rischi specifici per l’AI oltre il semplice accesso all’account. Gli attaccanti possono manipolare output, esfiltrare dati sensibili o iniettare prompt dannosi. Questo sottolinea la necessità di valutare l’adozione dell’AI a livello aziendale e di imporre un’autenticazione forte e controlli di accesso condizionati.
AI e Leaked Tooling abbassano le barriere all’ecosistema ransomware
Nel 2025, X-Force ha registrato un aumento del 49% dei gruppi ransomware attivi rispetto all’anno precedente, data la presenza di operatori più piccoli e transitori le cui campagne a basso volume complicano l’attribuzione. Questa tendenza è accelerata dal crollo delle barriere all’ingresso, poiché gli autori delle minacce riutilizzano strumenti compromessi. Ora, si affidano a playbook consolidati e ricorrono sempre più spesso all’intelligenza artificiale per automatizzare le operazioni. Con la maturazione dei modelli di AI multimodali, X-Force si aspetta che gli avversari automatizzino compiti complessi come la ricognizione e attacchi ransomware avanzati, generando minacce più rapide e adattive.
Pressione pronta a crescere sulle supply chain
X-Force ha identificato un aumento di quasi 4 volte nelle compromissioni delle supply chain o di terze parti dal 2020, principalmente a causa degli attaccanti che sfruttano le relazioni di fiducia e l’automazione CI/CD nei flussi di sviluppo e nelle integrazioni SaaS. Con strumenti di codifica basati su AI che accelerano la creazione di software e, occasionalmente, introducono codice non verificato, la pressione su pipeline ed ecosistemi open source dovrebbe aumentare nel 2026.
Questo aumento è anche attribuito alla linea sfumata tra stato-nazione e agli attori motivati finanziariamente. Man mano che tattiche e tecniche si diffondono nei “forum sotterranei”, e l’AI semplifica la ricognizione e lo sfruttamento, tecniche malevoli un tempo a disposizione di pochi soggetti gestiti da stati-nazioni ora possono essere utilizzate da più organizzazioni criminali finanziate da soggetti privati.
Ulteriori risultati del rapporto 2026 includono:
- L’AI accelera il ciclo di vita dell’attaccante. Gli attaccanti utilizzano l’AI per accelerare la ricerca, analizzare grandi set di dati e iterare i percorsi degli attacchi in tempo reale. Ad esempio, i programmi di lavoratori IT nordcoreani utilizzano l’AI per scalare le operazioni, inclusa la manipolazione delle immagini guidata dall’AI per identità sintetiche e strumenti di traduzione per interagire tra mercati globali.
- Fondamenti di sicurezza ancora mancanti. I test di penetrazione X-Force Red rivelano persistenti debolezze nell’igiene delle credenziali e nella configurazione software, con controlli di accesso mal configurati come punto di ingresso più comune per queste situazioni.
- La produzione è in cima alla lista degli obiettivi per il quinto anno. Il settore ha rappresentato il 27,7% degli incidenti osservati da X-Force, con il furto di dati come il più comune.
- Il Nord America è emerso come la regione più attaccata. Rappresentando il 29% dei casi totali osservati da X-Force, e in aumento rispetto al 24% del 2024, il Nord America è diventato la regione più colpita per la prima volta in 6 anni.
